セキュリティランサムウェア対策ボリューム攻撃レポート出力
環境
- ONTAP version 9.10.1以降
- ランサムウェア対策または自律型ランサムウェア対策 (ARP) または Anti_Ransomware または ARW
回答
- security anti-ransomware volume attack generate-reportでレポートを生成すると、ランサムウェアの可能性があると疑われるファイルの一覧が表示されます
Cluster_CLI::> security anti-ransomware volume attack generate-report -vserver <affected vserver> -volume <affected volume> -dest-path <data SVM>:<shared volume hosted by the data SVM>/
Report "report_file_vs1_vol1_30-03-2021_16-11-38" available at path "vs1:vol1/".
- ファイルは表示されているような形式で、実際の列ヘッダー名はありません。
(File sequence) (Time and date of report) (Extension) (File Name) (Report Indicator)
1 "7/30/2024 15:33:36" 5856 /file.5856 1
2 "7/30/2024 15:33:36" 5857 /file.5857 2
3 "7/30/2024 15:33:36" 5858 /file.5858 1
4 "7/30/2024 15:33:36" 5862 /file.5862 1
5 "7/30/2024 15:33:36" 5864 /file.5864 2
- レポートインジケータは次のように解決されます:
- 1 - これは「ファイル拡張子の種類: 通常の拡張子の種類に準拠しない拡張子」を示します。
- 2 - これは「エントロピー: ファイル内のデータのランダム性の評価」を示します。
- その後、レポート内のファイルは、対応するホストから整合性を検証する必要があります。
- CLIでレポートを表示するには:
Cluster_CLI::> run -node [nodename] rdfile /vol/vol1/report_file_vs1_vol1_30-03-2021_16-11-38
出力例:
1 8/26/2025 03:03:24 csq_min=250 csq_avg=219 unsafe_extn=0 file_hdr=0 safe_extn=0 score=0.9999976787980708 lckd /file.tar.gz.lckd
注:
lckd
はfile.tar.gz.lckd
という名前のファイルに使用されるファイル拡張子です。unsafe_extn=0 / safe_extn=0
は、システムの拡張子分類リストに従って安全でない、または安全として分類された拡張子と一致しないことを示します。csq_min
、csq_avg
、file_hdr
、score
など、その他のパラメータはシステムによって生成される指標で、ファイルのスキャンと分類に内部的に使用されます。この定義については、現時点では公開されていません。